|
信息名称 |
Log4j2 远程代码执行漏洞 |
||
|
报告ID |
QAXCERT-2022-086 |
可信度 |
低 |
|
公开时间 |
2022-07-30 |
更新时间 |
2022-07-31 |
|
研判结论 |
目前仅发现疑似POC公开,以下为奇安信CERT的研判: 即便以上条件都满足,可能还需要其他特定配置条件,目前根本看不出能导致什么威胁。 现在已知最相关的漏洞还是CVE-2021-44228 Apache Log4j2任意代码执行漏洞,详情在下面。去年44228出现以后,随后还出了一波衍生的垃圾漏洞,log4j2早就被在显微镜下给扫描了一遍,就别指望再出什么手榴弹级别的漏洞了。最新版本的log4j2默认禁用了JNDI,除非自己手欠非得手工去打开,就安安心心的吧,别瞎折腾。 |
||
|
信息相关漏洞状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
疑似公开 |
未确认 |
未确认 |
未确认 |
|
相关漏洞 |
Apache Log4j2任意代码执行漏洞(CVE-2021-44228) |
||
|
公开时间 |
2021-12-23 |
更新时间 |
2022-07-31 |
|
CVE编号 |
CVE-2021-44228 |
其他编号 |
QVD-2021-35958 |
|
威胁类型 |
代码执行 |
技术类型 |
JNDI注入 |
|
厂商 |
Apache |
产品 |
Log4j2 |
|
已知漏洞状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
是 |
已公开 |
已公开 |
已发现 |
|
漏洞描述 |
Apache Log4j2是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。 Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 |
||
|
影响版本 |
Apache Log4j 2.0-beta9 – 2.12.1 Apache Log4j 2.13.0 – 2.14.1 |
||
|
修复缓解措施 |
|
||
|
修复解决方案(含漏洞补丁) |
从Apache Log4j 2.16.0及Apache Log4j 2.12.2版本起,默认禁用JNDI功能,若需使用JNDI查找,需显式的在配置中启用。从Apache Log4j版本 2.17.0(Java 8)、2.12.3(Java 7)和 2.3.1(Java 6)起,已移除 JNDI 查找功能,且禁用 LDAP 协议,仅支持 Java 协议。建议尽快升级至安全版本: https://logging.apache.org/log4j/2.x/download.html |
||
|
信息名称 |
Nginx <= 1.21.5堆栈溢出导致远程命令执行漏洞 |
||
|
报告ID |
QAXCERT-2022-084 |
可信度 |
低 |
|
公开时间 |
2022-07-30 |
更新时间 |
2022-07-31 |
|
研判结论 |
根本未监测到影响Nginx 1.21.5版本的漏洞,能关联到为4月披露的NGINX LDAP参考实现远程代码执行漏洞。 Nginx是使用量巨大的软件,黑客们做梦都想发现相关的好用漏洞,多少双眼睛盯着呢,默认配置下的内存破坏类好用漏洞出现的可能性低过你上路出车祸,甲方就不要在根本没影的说法下去折腾软件服务商了,不折腾才体现自己的水平。 |
||
|
信息相关漏洞状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
未确认 |
未确认 |
未确认 |
未确认 |
|
相关漏洞 |
NGINX LDAP参考实现远程代码执行漏洞 |
||
|
公开时间 |
2022-04-09 |
更新时间 |
2022-07-31 |
|
CVE编号 |
暂无 |
其他编号 |
暂无 |
|
威胁类型 |
代码执行 |
技术类型 |
业务逻辑问题 |
|
厂商 |
Nginx |
产品 |
nginx-ldap-auth |
|
已知漏洞状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
未发现 |
未发现 |
未发现 |
未公开 |
|
漏洞描述 |
NGINX LDAP 参考实现使用轻量级目录访问协议 (LDAP) 来验证由 NGINX 代理的应用程序的用户。NGINX LDAP参考实现中存在远程代码执行漏洞,攻击者可通过向目标服务器发送特制请求来利用此漏洞,从而在目标系统上执行任意代码。注意,NGINX Open Source 和 NGINX Plus 本身不受此漏洞影响。 NGINX 官方指出了利用漏洞需要满足的条件,如果满足以下任何条件,LDAP 参考实现的部署会受到漏洞的影响: |
||
|
影响版本 |
配置了NGINX LDAP 参考实现的以下版本:Nginx<=1.18 |
||
|
修复缓解措施 |
缓解条件1:命令行参数用于配置 Python 守护程序 请将以下配置添加到NGINX 配置(repo中的nginx-ldap-auth.conf)中的location = /auth-proxy块中: location = /auth-proxy { # … proxy_pass_request_headers off; proxy_set_header Authorization $http_authorization; # If using Basic auth # …} 缓解条件2:未使用的可选配置参数 将以下配置添加到NGINX 配置中的location = /auth-proxy块中: location = /auth-proxy { # … proxy_pass_request_headers off; proxy_set_header Authorization $http_authorization; # If using Basic auth # …} 缓解条件3:需要 LDAP 组成员身份 请确保显示登录表单的后端守护程序从用户名字段中删除任何特殊字符。必须删除左括号和右括号字符以及等号,它们对于 LDAP 服务器都有特殊含义。LDAP 参考实现中的后端守护程序将在适当的时候以这种方式进行更新。 |
||
|
修复解决方案(含漏补丁) |
请尽快升级至安全版本 |
||
原文始发于微信公众号(奇安信 CERT):不要让谣言驱动应急响应
